Zo informeert u slachtoffers over een datalek
Zijn de risico’s van een datalek hoog? Dan moet u de slachtoffers zo snel mogelijk informeren. De belangrijkste doelen hiervan zijn dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd en dat zij weten wat zij kunnen doen om zichzelf te beschermen.
Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd en wilt u de AP hierover een tip geven?
Direct een datalek melden of datalektip geven
U leest op deze pagina welke vragen u in ieder geval moet beantwoorden in de informatie die u de slachtoffers geeft. U mag natuurlijk altijd extra informatie geven. Ook leest u op welke manier u de informatie kunt geven.
Op deze pagina
1. Wat is er gebeurd?
Geef onder meer antwoord op de volgende vragen:
- Om welke gegevens gaat het? Wat is er met deze gegevens gebeurd?
- Zijn de gegevens in handen gekomen van een onbevoegde? Of zijn de persoonsgegevens tijdelijk of voor altijd ontoegankelijk geworden (u kunt er niet meer bij) of verloren geraakt (u bent de gegevens kwijt)?
- Waren de persoonsgegevens onjuist of onvolledig in het systeem ingevoerd of opgeslagen? Of een combinatie?
2. Wat zijn de waarschijnlijke gevolgen?
Geef onder meer antwoord op de volgende vragen:
- Is alleen de privacy geschonden van de slachtoffers? Of is er ook sprake van (een hoog risico op) lichamelijke of materiële (financiële) schade? Zo ja, geef dan ook concreet aan welke schade.
- Zijn de persoonsgegevens in handen van een kwaadwillende? Bijvoorbeeld een hacker? Zo ja, is er een (hoog) risico dat de slachtoffers door het datalek phishingmails ontvangen? Of slachtoffer worden van (identiteits)fraude?
- Zijn de persoonsgegevens inmiddels teruggestuurd of vernietigd door de partij die de gegevens onterecht heeft ontvangen?
3. Welke maatregelen stelt u voor of heeft u al getroffen?
Dit is inclusief eventuele maatregelen om de risico’s te verkleinen of de nadelige gevolgen te beperken. Hierbij moet u ook vermelden of u externe partijen om advies heeft gevraagd. En zo ja, wat dat advies inhoudt.
4. Kunnen de slachtoffers zelf iets doen?
Geef aan wat slachtoffers zelf kunnen doen. Bijvoorbeeld hun wachtwoord wijzigen. U kunt ook verwijzen naar de pagina Slachtoffer van een datalek? Dit kunt u doen op de website van de AP.
Is er een risico op identiteitsfraude bij uw datalek? Geef dan aan dat de slachtoffers alert moeten zijn op identiteitsfraude. U kunt daarbij verwijzen naar:
- informatie van de politie over identiteitsfraude;
- informatie van de Rijksoverheid over identiteitsfraude.
Deze pagina’s geven informatie over hoe slachtoffers identiteitsfraude kunnen herkennen en wat zij kunnen doen.
5. Waar kunnen slachtoffers terecht met vragen?
Geef de naam en contactgegevens van de functionaris gegevensbescherming (FG), als uw organisatie die heeft. Of van iemand uit uw organisatie bij wie de slachtoffers terecht kunnen voor meer informatie. Bijvoorbeeld de directeur of een privacycontactpersoon.
Zo geeft u de informatie
U moet de slachtoffers rechtstreeks informeren. Dat kan op verschillende manieren, zoals per e-mail, sms, met een brief of telefonisch. Kies een manier die past bij uw doelgroep. Stuurt u een brief? Dan kunt u ervoor kiezen die aangetekend versturen, maar dat is niet verplicht.
U leest meer over de manier waarop u de slachtoffers informeert in hoofdstuk III van de Guidelines on personal data breach notification under GDPR van de EDPB.